Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Aurélien Cabezon (SecurityVibes)
Published on Monday 11 June 2007
0 comment(s) | Subnetwork France

Publiée pour la troisième année consécutive, les points abordés cette fois-ci par le sondage vont bien au-delà du nombre de mots de passe manipulés quotidiennement par les Administrateurs techniques ou le fait de savoir si les droits sont mémorisés dans la tête des informaticiens ou notés sur des Post-It. On y apprend également qu'un tiers des personnes sondées parient sur le fait qu'elles conserveraient sans problème leurs droits si elles quittaient leur entreprise. D'ailleurs, ils sont 28% à connaître d'anciens collaborateurs qui sont dans ce cas, dont certains ont même accès au fichier clients.

Cette étude confirme donc la situation très inconfortable des administrateurs techniques, qui sont soumis aux consignes de leur hiérarchie en tant que salariés et qui doivent assurer leur fonction dans le respect des règles juridiques existantes sous peine de voir leur responsabilité personnelle engagée. L'exercice de la fonction d'administrateur est à la croisée de ces deux obligations. Un document intitulé Administrateurs Techniques, Droits & Devoirs, publié sur le site de l'AFCDP rappelle une jurisprudence qui avait abouti à la condamnation d'un responsable réseau et de son responsable hiérarchique, et dans laquelle la cour avait relevé un abus de la part de ces professionnels de leur position « et des possibilités techniques dont ils disposaient ». L'Association Française des Correspondants à la protection des Données à caractère Personnel recommande d'ailleurs de faire établir une charte spécifique à cette catégorie professionnelle et de les sensibiliser d'avantage au cadre juridique.

Si les professionnels de l'informatique ne donnent pas l'exemple en matière de confidentialité, on apprend aussi qu'ils sont toujours une majorité à noter les mots de passe les plus critiques sur de petites pages jaunes et que 8% avouent avoir laissé les mots de passe éditeurs...connus de tous les hackers, comme le confirme Gary McKinnon. Surnommé « The most prolifigate military hacker of all time » pour avoir pénétré 97 ordinateurs du département américain de la défense (il fait actuellement l'objet d'une demande d'extradition et risque 70 ans de prison), ce britannique dont le nom de code est Solo a déclaré dans une interview accordée à la BBC « La façon la plus simple de s'infiltrer dans le réseau d'une entreprise est de chercher les mots de passe de type admin laissés en blanc ou avec la valeur par défaut de l'éditeur. Une fois que vous les avez trouvés a ce qui est incroyablement facile et rapide a vous êtes dans la place et bénéficiez du plus haut niveau d'autorisation, Bingo ! Vous contrôlez l'ensemble du système ».

Ces risques sont confirmés dans l'étude publiée en décembre 2006 par le CERT du Carnegie Mellon University Software Engineering Institute et les services secrets américains et intitulée Comparing Insider IT Sabotage and Espionage : dans 86% des cas, l'attaquant interne serait un homme, occupant un poste technique. Pour 92% d'entre eux, la vengeance était la première motivation. Le rapport confirme que « dans les cas de sabotages étudiés, les auteurs étaient souvent les Administrateurs systèmes ou les utilisateurs privilégiés [qui] ont un accès total à des segments stratégiques du système d'information ou du réseau ». L'un des trente cas étudiés fait état d'un Administrateur ayant accédé au NOC un vendredi soir : « Il a effacé la totalité des données, écrasé les programmes applicatifs, arrêté l'ensemble des ressources et volé les supports de sauvegarde... ». Le rapport précise que « dans 28 des 30 cas de sabotage et d'espionnage, le défaut de contrôle d'accès a facilité ces actes illégitimes ». Plus près de nous, la CNIL a récemment pointé les failles de sécurité du Dossier Médical Personnel (DMP), dont des mots de passe trop facilement réductibles.

Dans le même ordre d'idée, on apprend dans l'étude de Cyber-Ark Software que 20% des administrateurs reconnaissent ne pas modifier les mots de passe les plus critiques assez fréquemment ; « Aucune idée ! », « Pas souvent », « Quand la hiérarchie nous y oblige », « Chaque année », « Jamais » sont quelques-unes des réponses fournies. Aussi est on surpris de découvrir que ces mêmes professionnels informatiques estiment à 68% pouvoir passer avec succès un audit de sécurité inopiné ! D'incorrigibles optimistes ?